Índice

¿Pueden las auditorías salvar tu empresa?

¿Qué es la Ley SOX?

3 Retos del cumplimiento de la ley Sarbanes Oxley

El cumplimiento de las normas Sox y el coste de la exención

Soluciones tecnológicas y cumplimiento de la SOX

Auditoría y prevención del fraude

La responsabilidad de los auditores internos

¿Qué pasa si me hacen una auditoría?

¿Pueden las auditorías salvar tu empresa?

Te gusten o no, los requisitos de auditoría externa de los informes financieros de las empresas han demostrado ser «altamente eficaces» para detectar el fraude empresarial, según un estudio reciente de la Asociación Americana de Contabilidad. ¿Estátu empresa exenta de la revisión de auditoría externa de la Ley Sarbanes-Oxley (SOX)? Si es así, en realidad esa exención puede costarle a tu empresa tanto como le ahorra, según un reciente estudio publicado a finales de junio por notables instituciones académicas. El estudio estudiodirigido por académicos de la Universidad de Washington y la Universidad de Georgetown, descubrió que, si bien la exención de la auditoría SOX puede beneficiar financieramente a las empresas -al evitarles unos elevados honorarios de auditoría-, también puede hacer que incurran en gastos aún más costosos por la presentación de informes incorrectos, entre otros:

  1. Menor rendimiento operativo debido a la no remediación
  2. Valores de mercado que no reflejan el estado de control interno subyacente de una empresa

¿Qué es la Ley SOX?

La Ley Sarbanes-Oxley (SOX) fue aprobada por el Congreso de EE.UU. en 2002 para ayudar a frenar la actividad contable fraudulenta de las empresas.

Más concretamente, la disposición 404(a) de la Ley SOX exige que las organizaciones establezcan controles contables internos y métodos de información. La sección 404(b) exige la supervisión por parte de auditores externos del control interno de las empresas sobre la información financiera.

Las empresas con menos de 75 millones de dólares de capitalización bursátil están exentas permanentemente de la 404(b) desde 2010, gracias a la Ley Dodd Frank, una prórroga que se concedió a las pequeñas empresas por temor a que no pudieran asumir la carga de los costes asociados al cumplimiento.

3 Retos del cumplimiento de la ley Sarbanes-Oxley

Incluso si las empresas creen que las auditorías externas pueden salvarlas de los peligros del fraude, aún les quedan las frustraciones asociadas al cumplimiento de la ley Sarbanes-Oxley y otros requisitos de auditoría.

1. Los requisitos y la normativa cambian constantemente

Las organizaciones tienen que seguir el ritmo de esos cambios y luego modificar sus propios procesos para cumplir esas obligaciones en constante evolución. Lee: «A tus auditores les importan estas 8 cosas»

2. Mantener el ritmo cuando las normas cambian constantemente cuesta tiempo y dinero

De hecho, puede pasar factura a los recursos de una organización. Sin el personal, las herramientas o la tecnología adecuados, las organizaciones pueden verse desviando recursos del rendimiento empresarial sólo para cumplir la normativa.

3. La tecnología se desactualiza rápidamente

Las organizaciones no sólo tienen que mantener sus procesos e informes en línea con las normas y requisitos en evolución, sino que también tienen que mantener actualizada la tecnología que utilizan para apoyar sus esfuerzos de cumplimiento. Y para las empresas que invirtieron en tecnología al principio de la era Sarbanes-Oxley, y ahora tienen «sistemas heredados», esto puede ser una verdadera lucha. Afortunadamente, en los últimos años la tecnología de gestión integrada de riesgos ha madurado significativamente para hacer más ágil la gestión del cumplimiento y la auditoría. Como esta tecnología se ofrece ahora como software como servicio, ofrece ventajas como una rápida implantación y modificación; una mayor productividad para el auditor y el auditado; una reducción de la dependencia del personal informático; y una reducción general de los costes. Esto permite a las empresas centrarse en los problemas -ya sea el fraude o cualquier otra cuestión que pueda poner de manifiesto una auditoría- en lugar de centrarse en mantener la tecnología en funcionamiento.

El cumplimiento de la SOX y el coste de la exención

Sin embargo, según el estudio, titulado Beneficios y costes de la exención de la Sección 404(b) de la Ley Sarbanes-Oxley: Evidencia de las declaraciones de control interno de las pequeñas empresas. El estudio se basado en una muestra de más de 5.300 organizaciones exentas y observaciones anuales de 2007 a 2014.

Sin duda, confirma que los honorarios de auditoría no son un gasto menor, con un ahorro de honorarios de auditoría que asciende a un total estimado de 388 millones de dólares para las empresas exentas evaluadas durante el análisis de siete años.

Aun así, el estudio concluyó que el coste de la exención 404(b) era mucho mayor que el ahorro. De 2007 a 2014, las empresas de la muestra del estudio perdieron enormes beneficios potenciales futuros -estimados en 856 millones de dólares en total- por no remediar adecuadamente sus controles internos.

Además, experimentaron un 935 millones de dólares en valor de mercado agregado retrasado debido a la divulgación inoportuna del control interno.

En última instancia, el estudio determinó que «la exención de la Sección 404(b) es costosa en la medida en que da lugar a que las empresas no descubran o revelen controles internos ineficaces (por ejemplo, informes erróneos)».

Las dos pérdidas principales que se derivan de la información incorrecta –como se ha mencionado anteriormente– incluyen un menor rendimiento operativo debido a la falta de reparación y valores de mercado que no reflejan el estado de control interno subyacente de una empresa.

Soluciones Tecnológicas y Cumplimiento SOX

Las consecuencias de los informes erróneos que se producen debido al incumplimiento o a la falta de supervisión de los controles contables y los métodos de elaboración de informes pueden ser costosas. Estos costes, por supuesto, ni siquiera tienen en cuenta las sanciones y multas en que incurren las grandes organizaciones que realmente tienen que cumplir la SOX 404(b). Por este motivo, las empresas más grandes recurrieron a la tecnología en busca de ayuda cuando se establecieron los requisitos. De hecho, la Ley SOX generó un enorme aumento del suministro de software para cumplir los requisitos de la ley, un software costoso y engorroso que ahora está anticuado y no puede adaptarse a la naturaleza evolutiva de los requisitos ni a las necesidades cambiantes de las empresas. Sin embargo, en los últimos años, se ha desarrollado nueva tecnología SaaS para ayudar a abordar los controles contables internos y los métodos de elaboración de informes, que han demostrado ser más rápidos, seguros y eficaces, con una menor necesidad de asistencia interna. Incluso la tecnología de gestión de riesgos puede integrar ahora soluciones para resolver estos problemas. Esto significa que la tecnología está al alcance de organizaciones grandes y pequeñas por igual -independientemente de que se exija o no el cumplimiento de la SOX 404(b)- y a una fracción de los costes que se derivan de la presentación de informes erróneos. Más recientemente se ha hecho mayor hincapié en los enfoques basados en el riesgo. A menudo no es posible hacer absolutamente todo lo que se exige (y desde luego no es rentable), por lo que muchas organizaciones han desarrollado enfoques basados en el riesgo. En 2002, no se hacía mucho hincapié en el riesgo. La norma de riesgo más importante en aquel momento era probablemente AS:NZS4360:1999 y no fue hasta 2009 cuando apareció la ISO 31000, que ahora constituye la base del riesgo en muchas otras normas (nota: la ISO 31000 está siendo revisada y el 17 de febrero de 2017 se publicó un nuevo borrador de norma internacional). Aunque puede que se esté estudiando la reforma de la SOX, el consenso general parece ser que se centrará más en las reformas para las instituciones financieras, pero pase lo que pase, los cambios podrían ser tan repentinos como los cambios tipo tsunami que desencadenó la SOX en 2002.

Ventajas de tener los datos SOX en la nube

Sin embargo, hay cambios provocados por la tecnología que pueden hacer que esta próxima oleada sea más sencilla de gestionar para quienes estén preparados. En primer lugar, la nube. Aunque muchos siguen debatiendo sobre lo bueno y lo malo de tener datos SOX en la nube, cada vez se acepta más el uso de la nube. Entre sus principales ventajas se incluyen:

Rapidez de aplicación.

Velocidad de actualización.

Seguridad.

Piensa en los grandes proveedores de la nube, que tienen cientos, si no miles, de personas y sistemas altamente especializados protegiendo el sistema y los datos, en comparación con los recursos informáticos de la mayoría de las empresas.

Coste.

El coste compartido de la infraestructura en la nube suele ser mucho menor que el de las implantaciones in situ. En segundo lugar, la integración del proceso SOX en todos los nichos de la organización ha dado lugar a la Gestión Integrada de Riesgos, en la que los riesgos de cualquier parte de la organización se gestionan de forma coherente y se basan en los datos interconectados para garantizar que existe una única instancia de los hechos, de modo que se pueda tomar una mejor decisión y los posibles problemas salgan a la luz antes de que se conviertan en incidentes graves. En tercer lugar, han llegado los «Grandes Datos». Aunque esto puede ser un reto en sí mismo, la clave está en la superposición de herramientas de visualización de datos que se sitúen por encima de los datos, proporcionando una visión de este conjunto masivo de datos y presentando estas visiones de forma que sean fácilmente comprensibles y permitan a los responsables tomar decisiones informadas basadas en los datos actuales. Pero las implantaciones in situ pueden no tener la capacidad de aprovechar esta ola con tanta eficacia como los sistemas basados en la nube. La nube está aquí para quedarse, y ahora podría ser el mejor momento para plantearse un cambio.

Auditoría y Prevención del Fraude

Aunque los ejecutivos de las empresas suelen considerar que los requisitos de auditoría de la Ley Sarbanes-Oxley -o cualquier otro requisito de auditoría- son engorrosos y costosos, los riesgos asociados a no auditar (aunque tu empresa no esté obligada a hacerlo) pueden ser aún más costosos, sobre todo si se detecta un fraude. Por ejemplo, una organización típica pierde cada año el 5% de sus ingresos por fraude, según el último Informe a las Naciones sobre Fraude y Abuso Ocupacionalpublicado en 2014 por la Asociación de Examinadores de Fraude Certificados. El informe también destacaba que más del 22% de los casos del estudio dieron lugar a pérdidas de al menos 1 millón de dólares, y la pérdida media ascendió a 145.000 dólares. La costosa naturaleza del fraude es la razón por la que la detección del fraude es tan importante, y en efecto, la razón por la que las auditorías externas son potencialmente igual de importantes. El estudio de la Asociación Americana de Contabilidad, publicado en Auditing: A Journal of Practice and Theory, sugiere que existe un vínculo entre la debilidad de los controles internos de la información financiera y un mayor riesgo de fraude contable no revelado en las empresas públicas. Ese vínculo «es una consideración importante a la hora de sopesar los costes y beneficios de la ley Sarbanes-Oxley «, según un reciente artículo del New York Times, «Sarbanes-Oxley, Bemoaned as a Burden, Is an Investor’s Ally». Esta consideración ha cobrado gran interés últimamente, ya que el Congreso está considerando la posibilidad de hacer retroceder algunas de las normas de la ley.

La responsabilidad de los auditores internos

Tradicionalmente, los departamentos de auditoría interna se han considerado una función orientada a la gobernanza y el cumplimiento, destinada a garantizar que los procesos de gestión de riesgos, gobernanza y control interno de la organización funcionan eficazmente para cumplir los reglamentos y normas que afectan a sus negocios. Los miembros de los consejos de administración esperan que los auditores internos innoven para proteger y transformar el negocio, lo que en última instanciasignifica que el cumplimiento es fundamental. La tecnología integrada de gestión de riesgos ayuda a desarrollar eficazmente formas innovadoras de proporcionar una mejor estrategia que permita a los auditores internos centrar eficazmente sus esfuerzos en predecir el riesgo y proteger a sus organizaciones. Los datos pueden introducirse, normalizarse y revisarse en tiempo real, todo en un mismo lugar. La información y las perspectivas precisas están fácilmente disponibles y actualizadas, en lugar de estar encerradas en hojas de cálculo enviadas por correo electrónico con datos antiguos que ya no son relevantes. Los sistemas automatizados y basados en la nube fomentan el intercambio de información en toda la organización y proporcionan datos y análisis en tiempo real. Las representaciones visuales o gráficas instantáneas de los datos reducen la laboriosa elaboración de informes y te permiten mejorar las estrategias de auditoría, acelerar los ciclos de auditoría, reducir los costes de auditoría y aumentar la productividad de los auditores.

Por qué la auditoría interna debe pasar de marcar casillas a innovar

La necesidad de ser relevante suele ser el principal motor de los departamentos de auditoría interna que intentan pasar de funciones basadas en el cumplimiento a operaciones transformadoras, un concepto que sin duda resulta familiar a las empresas de auditoría externa que también luchan por ser relevantes y aportar valor a sus clientes. Para los propios auditores, pasar de una función basada en el cumplimiento a una función innovadora será obviamente más satisfactorio profesionalmente. Pero las empresas también obtienen recompensas económicas muy reales al pensar en el cumplimiento de una forma «fuera de lo común», en lugar de «marcando casillas». Pero, ¿qué aspecto tiene realmente la innovación en los departamentos de auditoría interna? Según el estudio «El pulso de la profesión» del Instituto de Auditores Internos, requiere que los departamentos de auditoría interna transformen sus operaciones y mejoren sus respuestas a las perturbaciones empresariales en constante evolución. Simplificado, significa que deben identificar y mitigar los riesgos perjudiciales antes de que se produzca la disrupción, así como darse cuenta de las ventajas del riesgo, para que la dirección pueda tomar decisiones informadas para proteger y añadir valor al negocio. Si esto suena imposible, no lo es… al menos para aquellas organizaciones dispuestas a invertir en la tecnología adecuada. Según el estudio anual «State of the Internal Audit Profession» de PwC, el 56% de los líderes de auditoría interna creen que la adopción de tecnología influye en el valor de la auditoría interna para la organización.

¿Qué pasa si me hacen una auditoría?

Si tu empresa está sujeta al cumplimiento de la SOX o a otros requisitos de auditoría externa -o simplemente contrata auditores externos como coste de la actividad empresarial-, es posible que experimentes un mayor nivel de escrutinio por parte de tus auditores.

Esto se debe a que una multitud de empresas de auditoría estarán sometidas a un mayor escrutinio, ya que el Consejo de Supervisión Contable de Empresas Públicas (PCAOB ) anunció a finales de agosto su intención de revisar 195 auditores registrados de empresas públicas y otros emisores en 2017 en torno a unas pocas áreas de interés clave.

La naturaleza y el alcance de las conclusiones de las inspecciones del PCAOB siguen influyendo significativamente en la forma de actuar del sector de la auditoría y en el modo en que las empresas diseñan y aplican los controles internos.

Las principales áreas de interés de las revisiones del PCAOB de 2017 incluyen:

  1. Áreas de auditoría en las que los inspectores han detectado deficiencias en el pasado, como la evaluación y respuesta a los riesgos de incorrecciones materiales
  2. Áreas de auditoría afectadas por la reciente evolución económica, incluida la elevada tasa de actividad de fusiones y adquisiciones y las fluctuaciones de los precios del petróleo y el gas natural.
  3. Áreas de información financiera que requieren juicios significativos, incluidas las consideraciones de empresa en funcionamiento y la información sobre el impuesto sobre la renta
  4. Cumplimiento por una empresa de auditoría de las nuevas normas de transparencia (Formulario AP)
  5. Preparación para las nuevas normas contables de reconocimiento de ingresos y contabilidad de arrendamientos
  6. Trabajo de otros auditores en auditorías multinacionales
  7. El uso que hace el auditor de las tecnologías de la información, en particular de las herramientas informáticas de auditoría
  8. El sistema de control de calidad de la sociedad de auditoría

Tanto si tu empresa está sujeta a auditorías externas por elección o por necesidad, no eres ajeno a la constante evolución de los reglamentos, las normas de cumplimiento y los requisitos de auditoría que pueden poner en jaque tu proceso de cumplimiento y auditoría. Sin embargo, saber lo que buscan tus auditores puede ayudarte a aliviar ese estrés.

¿Te interesa saber más sobre cómo la tecnología de gestión de riesgos puede resolver tus problemas de cumplimiento o auditoría SOX? Más información sobre la solución SOX Sarbanes-Oxley de Riskonnect.

¿Por qué el cumplimiento de la SOX requiere tanto tiempo?

Incluso después de 15 años, los ejecutivos de las grandes empresas que cotizan en bolsa dicen que siguen luchando por estabilizar los costes y controlar las horas dedicadas al cumplimiento de la ley Sarbanes-Oxley, (SOX compliance), según Encuesta de Protiviti sobre el cumplimiento de la ley Sarbanes-Oxley 2017.

Las principales conclusiones del estudio incluyen:

La evolución de la normativa aumenta el tiempo dedicado al cumplimiento de la SOX

La mayoría de las empresas -independientemente de su tamaño- vieron aumentar el tiempo que dedicaban al cumplimiento de la SOX el año pasado, y para dos tercios de esas empresas aumentó más de un 10%. Según el estudio, los cambios en la normativa -como la Norma de Auditoría AS.18 (AS.2410 recodificada); la divulgación de información no ajustada a los PCGA y los controles asociados; el aumento de la documentación sobre ciberseguridad; y la mayor atención prestada a los informes SOC externalizados- fueron probablemente factores determinantes. Los requisitos normativos asociados probablemente seguirán cambiando, por lo que es difícil predecir el número de horas que las organizaciones -sobre todo las grandes y complejas- tendrán que dedicar al cumplimiento de año en año.

Las organizaciones complejas dedican más tiempo al cumplimiento de la SOX

No es sorprendente que exista una correlación entre el número de sedes y los costes anuales de cumplimiento de la SOX, con una diferencia media de casi 1 millón de dólares entre las organizaciones menos y más complejas. Más concretamente, la encuesta señala que cuanto mayor sea el número de sedes de la empresa, mayor será el recuento de controles. Casi el 43% de las empresas con más de 12 sedes afirmaron que entre el 78% y el 100% de los controles estaban clasificados como controles clave, un porcentaje significativamente superior al de las empresas con entre 4 y 12 sedes.

La externalización ofrece alivio a los problemas de cumplimiento de la SOX

Cada vez son más las empresas que externalizan su trabajo de cumplimiento de la SOX, probablemente impulsadas por las limitaciones de tiempo que impone a una organización. Como resultado, descubren que los costes se están nivelando. Sin embargo, estos costes de terceros no suelen incluirse en el presupuesto de cumplimiento de SOX, sino que se dispersan por los presupuestos de las unidades de negocio. Para las grandes organizaciones, esto hace aún más difícil determinar con precisión cuánto se gasta en el cumplimiento de SOX.

Leer «¿Las auditorías externas cuestan o ahorran dinero a las empresas?»

Los ejecutivos siguen valorando positivamente el trabajo de cumplimiento de la SOX

A pesar de los costes, los directivos informaron de que el cumplimiento de la SOX les ha ayudado a crear procesos más ágiles y racionalizados, lo que tiene beneficios más allá del cumplimiento. Pero obtener valor a largo plazo de sus esfuerzos podría exigir un análisis más detallado de cómo están entretejiendo el trabajo de cumplimiento con otros aspectos del control de riesgos.

El papel de la tecnología de gestión de riesgos en el cumplimiento de la SOX

Los resultados de esta encuesta deberían incitar a los directivos de las empresas grandes -y en crecimiento- a plantearse qué pueden hacer para controlar el tiempo y los costes del cumplimiento de la SOX. Es probable que la mayoría de las grandes empresas ya hayan invertido en algún tipo de solución tecnológica para apoyar los esfuerzos de cumplimiento de la SOX, pero esa tecnología podría estar mostrando su vejez. Los directivos deben examinar si sus soluciones tecnológicas son lo bastante ágiles para ayudar a controlar el tiempo y los costes en el futuro. Descubre cómo la tecnología de gestión de riesgos SaaS puede ayudar a las organizaciones complejas y globales a mantenerse al día con las cambiantes normativas y a integrar el cumplimiento de SOX en su programa general de ERM.